Denonia მავნე პროგრამა შეიძლება იყოს პირველი, ვინც მიზნად ისახავს AWS Lambda

Denonia მავნე პროგრამა შეიძლება იყოს პირველი, ვინც მიზნად ისახავს AWS Lambda


Cado Labs-ის მკვლევარების თქმით, Cado Labs-ის მკვლევარებმა, რომლებმაც პირველად შეამჩნიეს ის ველურში, ახლად აღმოჩენილი მავნე პროგრამა, სახელწოდებით Denonia, დომენის სახელის მიხედვით, რომელიც გამოიყენება მისი ოპერატორების მიერ, შეიძლება იყოს მავნე პროგრამის სპეციალურად მიმართული Amazon Web Services (AWS) Lambda გარემოში.

Cado’s Matt Muir-მა, Chris Doman-მა, Al Carchrie-მ და Paul Scott-მა თქვეს, რომ მიუხედავად იმისა, რომ Denonia შეიძლება შედარებით უვნებელი ჩანდეს, რადგან ის მხოლოდ კრიპტომაინინგის პროგრამულ უზრუნველყოფას მართავს, ის იყენებს უახლესი ტექნიკას, რათა თავიდან აიცილოს სტანდარტული აღმოჩენის მეთოდები და ვირტუალური ქსელის წვდომის კონტროლი და აჩვენოს, თუ რამდენად მავნე აქტორები არიან. იყენებენ ღრუბელ-სპეციფიკურ ცოდნას რთული ინფრასტრუქტურის გამოსაყენებლად, რაც მიუთითებს გზაზე მომავალი, უფრო საზიანო შეტევებისკენ.

მათ თქვეს, რომ Lambda – რომელიც არის სერვერის გარეშე, მოვლენებზე ორიენტირებული გამოთვლითი სერვისი, რომელიც მომხმარებლებს საშუალებას აძლევს გაუშვან კოდი პრაქტიკულად ნებისმიერი სახის აპლიკაციის ან სარეზერვო სერვისისთვის სერვერის უზრუნველყოფის ან მართვის გარეშე – შესაძლოა განსაკუთრებით დაუცველი აღმოჩნდეს მავნე პროგრამების მიმართ.

”ორგანიზაციები – როგორც დიდი, ისე პატარა – სულ უფრო მეტად იყენებენ Lambda სერვერის ფუნქციებს,” – ნათქვამია მათ გამჟღავნების შეტყობინებაში. ”ბიზნესის სისწრაფის თვალსაზრისით, უსერვერს აქვს მნიშვნელოვანი სარგებელი. თუმცა, ხანმოკლე მოქმედების ხანგრძლივობა, შესრულებათა დიდი მოცულობა და ლამბდას ფუნქციების დინამიური და ეფემერული ბუნება შეიძლება გაართულოს პოტენციური კომპრომისის აღმოჩენა, გამოძიება და რეაგირება.

Denonia კოდირებულია Go, იგივე Golang, პროგრამირების ენაზე და შეიცავს XMRig კრიპტომაინერის მორგებულ ვარიანტს, რამდენიმე ჯერ კიდევ უცნობ ფუნქციებთან ერთად. Go malware-ები სულ უფრო და უფრო პოპულარული ხდება მავნე მოქმედი პირების მიერ, მათი თქმით, სხვადასხვა სპეციფიკური ფუნქციების და ენის ზოგიერთი მახასიათებლის გამო, რომელიც შეიძლება რთული იყოს ეთიკური ჰაკერებისთვის.

Muir-ის გუნდმა თქვა, მიუხედავად იმისა, რომ მათმა ანალიზმა აჩვენა, რომ Denonia აშკარად იყო შექმნილი სპეციალურად ლამბდას გარემოში შესასრულებლად, მათ ვერ დაადასტურეს მისი გავრცელება, თუმცა ისინი ვარაუდობდნენ, რომ ის შეიძლება ხელით განლაგებულიყო კომპრომეტირებული AWS Access და Secret Keys მეშვეობით.

მათ ასევე აღნიშნეს, რომ მიუხედავად იმისა, რომ Denonia კონკრეტულად მოელის Lambda-ში გაშვებას, შესაძლებელია მისი გაშვება Linux-ის სხვა გარემოში – ეს სავარაუდოდ იმიტომ არის, რომ Lambda სერვერის გარეშე გარემო მუშაობს Linux-ის კაპოტის ქვეშ, ასე რომ, როდესაც გუნდმა ის გაუშვა თავის sandbox-ში, მას მაინც სჯეროდა. ის ლამბდაში მუშაობდა.

მკვლევარებმა განაცხადეს, რომ მათ მიერ ნაპოვნი პირველი ნიმუში თარიღდება თებერვლის ბოლოს, მაგრამ მას შემდეგ იპოვეს მეორე ნიმუში, რომელიც აიტვირთა VirusTotal-ზე იანვარში.

ამის საპასუხოდ, Cado-მ თავის Cado Response პლატფორმას დაამატა Denonia-ის გამოკვლევისა და გამოსწორების შესაძლებლობა AWS ECS და AWS Lambda გარემოსთვის.

სრული გამჟღავნების შეტყობინება, მათ შორის უფრო სიღრმისეული ანალიზი, ეკრანის ანაბეჭდები და კომპრომისის ინდიკატორები (IoCs), შეგიძლიათ იხილოთ Cado-ს ვებსაიტზე.

Cado-ს გუნდმა დაადასტურა, რომ მათ სრული გამჟღავნება გაუკეთეს AWS-ს, მაგრამ ორგანიზაციას ჯერ არ უპასუხა, მისი მიღების დადასტურების გარდა. Computer Weekly დაუკავშირდა AWS-ს Denonia მავნე პროგრამის შესახებ კომენტარისთვის, მაგრამ ორგანიზაციას არ უპასუხა გამოქვეყნების მომენტში.

როგორც ზემოთ აღინიშნა, Linux-ზე დაფუძნებული ღრუბლოვანი სერვისები უფრო და უფრო მგრძნობიარე ხდება კიბერშეტევების მიმართ მისი ფართო გამოყენების წყალობით, ბოლოდროინდელი VMware-ის კვლევის შედეგად დადგინდა, რომ უსაფრთხოების პროდუქტები და გუნდები გარკვეულ მანძილზე ჩამორჩებოდნენ მავნე ფაქტორებს.

ანგარიში, მავნე პროგრამების გამოვლენა Linux-ზე დაფუძნებულ მრავალ ღრუბლოვან გარემოშითქვა, რომ ამჟამინდელი კონტრზომები ზედმეტად ორიენტირებულია Windows-ზე დაფუძნებული საფრთხეების აღმოფხვრაზე, რის შედეგადაც ბევრი საჯარო და კერძო ღრუბლის განლაგება დაუცველი რჩება თავდასხმების მიმართ, რომელთა შეჩერება სხვაგვარად ადვილი იქნებოდა.

Facebook Comments

Share this post

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო.


has been added to your cart.
გადახდა